Kenelläkään tai millään ei pitäisi olla koskaan ikinä mitään perusteltavaa syytä tietää yhdenkään toisen käyttäjän salasanaan. KRÄKKERIT SEKÄ TIETOVUOTAJAT OVAT INTERNETIN ETIIKAN MUKAISESTI KOKO JÄRJESTELMÄN SYVINTÄ POHJASAKKAA LOUKATESSAAN YKSITYISYYDENSUOJAA! HE OVAT HÄPEÄKSI KOKO IT-ALAN TIETOTURVALLE JA MAINEELLE!!! KUKA HALUAA, ETTÄ ESIM. MAINOSTOIMISTOT TIETÄVÄT, ETTÄ MITÄ PORNOA KATSOT MILLOINKIN? YKSI VUOTO, NIIN TIETO LEVIÄÄ, VÄLITETÄÄN ETEENPÄIN ISOLLA RAHALLA JA KÄYTTÄJÄT SAAVAT HIRVEÄSTI HAITTAA. KUKA ON SUURIN RIKOLLINEN TÄSSÄ KETJUSSA? PALVELUN YLLÄPITÄJÄ, VUOTAJA JA KRÄKKERI! VUODETTUJEN TIETOJEN JULKAISIJA ANSAITSEE MITALIN! JOKAINEN KUNNIALLINEN IHMINEN TEKEE NIIN SAADESSAAN SELLAISEN LISTAN KÄSIINSÄ! VOIDAAN SITTEN KAIKKI ULVOA JÄRKYTYKSESTÄ, LYÖDÄ PALVELUNTARJOAJALLE HÄPEÄN LEIMA OTSAAN JA PISTÄÄ KYSEINEN TAHO BOIKOTTIIN!
Edellisen artikkelin innoittamanaa voisin kertoa joitain asioita tietoturvaan liittyen. Usein tietoturva on monien sinällään yksinkertaisten asioiden ansiota, mutta ne silti jäävät. Tietoturvan merkityksen ymmärtää vasta kun sen menettää. Tietoturvan puutteet yleensä johtuvat myös siitä, että aiemmat tietoturvalle asetetut kriteerit ovat muuttuneet, vuosikymmen aiemmin tehdyn sähköpostin salasana ei välttämättä vastaa enää tämän päivän vaatimuksia.
Ne ihmiset, jotka ovat valmiita luopumaan olennaisesta osasta vapaudestaan saadakseen vähän turvallisuutta, eivät ansaitse kumpaakaan ja menettävät lopulta molemmat
Monet ajattelevat, että heillä ei ole mitään salattavaa. Tällainen ajattelu on erittäin vaarallista Internetissä. Aivan kuin normaalissa elämässäkin lukitaan kerrostalon ovi, niin aivan samoin Internetissä kannattaa suojata tietonsa. Kyse ei siis ole siitä, että sinulla olisi jotain salattavaa, vaan enemmänkin kyse on muista. On väärin muita kohtaan, että ei suojele omaa yksityisyyttään. Samoin kuin kondomin käyttäminen ei ole vain henkilökohtainen asia, niin samoin myös tietoturvassa ei ole kyse vain omasta asiasta. Onko valmis kehittämään verkkojärjestelmän, jonka seurauksena 127 k ihmisen käyttäjätiedot vuotavat yleiseen jakoon, kun ei vain ole tullut käytettyä paria riviä koodia salasanojen häshäykseen? Kyseisen ”murron” syytä paljon annettiin järjestelmän kehittäjälle, mutta eihän työntekijä joudu törkeästä toisten tietoturvallisuuden laiminlyönnistä tällaisissa asioissa vastuuseen. Kyse on jokaiselle siis periaatteesta; omaa yksityisyyttään tulee varjella, edes muiden edun takia. Tämä ääriesimerkkinä, mutta jokainen voi omilla toimillaan vaikuttaa yhteiseen tietoturvaan. Yleensä tietoturva on vain pieniä asioita, mutta läheskään kaikki eivät jaksa nähdä sitä pientä vaivaa. [muropaketti]
Häshäys (ja päälle salttaus) eli salasanan salaus on funktio, joka toimii hyvin toiseen suuntaan, mutta häshätyn salasanan muuttaminen alkuperäiseksi on vaikeaa. Vähä kuin suolistossa se funktio pelaa paremmin vain toiseen suuntaan, niin hieman samoin hash-funktio pelaa hyvin vain yhteen suuntaan. Vaikka häshätyt salasanat saisikin, vaikka ei mitenkään tulisikaan saada, niin silti niitä ei pysty hyödyntämään. Yleensä tällainen hash-funktio on oletuksena ohjelmointikielen kirjastoissa, joita käytetään verkossa. Aina kun salasana saadaan palvelimelle, niin oletusarvoisesti se häshätään, siinä ei pitäisi olla kenellekään ohjelmistokehittäjälle epäselvyyttä. Palvelimella ei koskaan saisi käsitellä selkokielistä salasanaa. Aina kun käyttäjä syöttää salasanan, niin se muutetaan häshin läpi, niin sitä voidaan sitten verrata aiemmin saatuun. Jos sitä alkuperäistä kukaan ei koskaan syötä, niin se tallennettu häshätty salasana on käyttökelvoton. Yksinkertainen periaate: älä koskaan tallenna selkokielistä salasanaa palvelimelle. Jos sellaisen virheen tekee 127 k käyttäjän palvelimella, niin ansaitsisi saada vuosien ehdottoman tuomion, siis ei kräkkeri vaan ohjelmistokehittäjä. Sellainen välinpitämättömyys on järkyttävää, salasanojen säilyttäminen blaintekstinä palvelimella! Ei yli 100 k käyttäjän salasanoja panna suojaamatomasti paljaana serveriin sähköpostiosoitteiden ja nikkien kera, EI JUMALAUTA! Yhdellä vitun syötetiedon väliin tökätyllä injektiolla (eli käyttöliittymän kautta lisätyillä tietokantakyselyllä: at your service – 127 k käyttäjätietoa täydellisenä plaintekstinä) vedetty koko setti ulos, niin sellaisen tietoturva-hirvittävyyden vuotaja on melkein sankari. Mitä ilmeisimmin Älypää-sivuston kehittäjät eivät olleet osallisia vuotoon, sivusto vain laajentunut paljon alkuperäisestä opinnäytetyönä tehdystä järjestelmästä vuodelta 1998, eikä tietoturvaominaisuuksia ole sitten vaivauduttu kehittelemään riittäväksi. [IL]
Tietoturva on siis periaate. Kun ohjelmistokehittäjä saa ihmisten henkilökohtaista ja salassa pidettävää tietoa, niin sitä ei saa vuotaa kuin vain kuolleen ruumiinsa yli. Muita tulee kohdella kuin halusi muiden kohtelevan itseään. Vaikka Jeesus tulisi pyytämään toisten henkilökohtaisia tietoja, niin niitä ei saa vuotaa mistään hinnasta. Tämä on eräänlaista ammattietikkaa ja ylpeyttä luottavuudesta. Valitettavasti on tapauksia, joissa monet ovat joutuneet koiran asemaan. Microsofti haastoi oikeuslaitoksen oikeuteen, koska he joutuivat luovuttamaan ihmisten yksityistietoja ja salaamaan sen tiedon epäillyltä. Koko prosessi oli tullut rutiiniksi, järjestelmälliseksi vakoiluksi käyttäjiä kohtaan. Samoin Apple joutui oikeuteen salauksestaan, jota FBI vaati Applelta kiertämään. Tällaisten vaatimusten edessä tulee olla kovana, ihmisten yksityisyyteen kuuluvan tiedon vuotaminen on täysin vastoin tietotekniikan etiikkaa. Valitettavasti sillä ei saa helposti tuomiota, parasta on vain pyrkiä ehkäisemään tietovuotoja kaikin keinoin. Tietovuotajat saavat katsoa itseään peiliin; miettiä että miten meni omasta mielestä. Kyse ei tulisi olla itsekkäästä omasta edusta, kyse on etiikasta.
Kuinka siis jokainen voi parantaa kaikkien meidän internetkäyttäjien tietoturvaa? Vastaus on yksinkertainen: käytä vähintään 8 merkkiä pitkää erikoismerkeistä, pienistä ja suurista kirjaimista koostuvaa salasanaa, jonka kirjoitat paperille ylös ja käytät jokaisessa palvelussa omaa salasanaansa. Helppoa? Oikeasti vittukyrpä ei ole hyvä salasana, vaikka se tuleekin ekana mieleen.
Swordfish (4/10) Movie CLIP – The Test (2001) HD
Microsoft haluaa kertoa poliisin toimista – haastoi oikeusministeriön oikeuteen